Навлизаме във фаза 3 от втвърдяването на Windows Server DC

  • Пропуск в сигурността на Kerberos предизвика незабавен отговор от Microsoft.
  • Компанията инициализира поетапно внедряване за Server DC Hardening.
  • Получаваме третата актуализация за сигурност Корекция във вторник на 11 април 2022 г.
DC закаляване

Microsoft издаде още едно напомняне днес относно защитата на домейн контролера (DC) поради пропуск в сигурността на Kerberos.

Както сме сигурни, че си спомняте, през ноември, на втория вторник от месеца, Microsoft пусна своята актуализация Patch Tuesday.

Този за сървъри, който беше KB5019081, обърна внимание на уязвимост при повишаване на привилегиите на Windows Kerberos.

Този пропуск всъщност позволи на участниците в заплахата да променят подписите на сертификата за атрибут на привилегия (PAC), проследявани под ID CVE-2022-37967.

Тогава Microsoft препоръча внедряването на актуализацията на всички устройства с Windows, включително домейн контролери.

Пропускът в сигурността на Kerberos задейства защитата на Windows Server DC

За да помогне с внедряването, базираният в Редмънд технологичен гигант публикува насоки, споделяйки някои от най-важните аспекти.

Актуализациите на Windows от 8 ноември 2022 г. адресират уязвимостите за заобикаляне на сигурността и повишаване на привилегиите с подписи на сертификат за атрибут на привилегия (PAC).

Всъщност тази актуализация за защита адресира уязвимостите на Kerberos, при които нападател може да промени цифрово PAC подписите, повишавайки своите привилегии.

За да подпомогнете допълнително защитата на вашата среда, инсталирайте тази актуализация на Windows на всички устройства, включително домейн контролери на Windows.

Моля, имайте предвид, че Microsoft всъщност пусна тази актуализация поетапно, точно както спомена за първи път.

Първото разгръщане беше през ноември, второто беше малко повече от месец по-късно. Сега, бързо напред до днес, Microsoft публикува това напомняне, тъй като третата фаза на внедряване е почти тук, тъй като те ще бъдат пуснати в следващия месец Patch Tuesday на 11 април 2022 г.

Днес технологичният гигант напомня ни, че всяка фаза повишава минимума по подразбиране за промените в защитата на сигурността CVE-2022-37967 и вашата среда трябва да е съвместима, преди да инсталирате актуализации за всяка фаза на вашия домейн контролер.

Ако деактивирате добавянето на PAC подпис, като зададете KrbtgtFullPacSignature подключ на стойност 0, вече няма да можете да използвате това решение след инсталиране на актуализации, издадени на 11 април 2023 г.

Както приложенията, така и средата ще трябва поне да са съвместими с KrbtgtFullPacSignature задайте подключ на стойност 1, за да инсталирате тези актуализации на вашите домейн контролери.

Ако не използвате никакво решение за проблеми, свързани с CVE-2022-37967 засилване на сигурността, все пак може да се наложи да адресирате проблеми във вашата среда за следващите фази.

С това казано, моля, не забравяйте, че ние също споделихме наличната информация за DCOM втвърдяване за различни версии на Windows OS, включително сървъри.

Чувствайте се свободни да споделите всяка информация, която имате, или да зададете всеки въпрос, който искате да ни зададете, в специалния раздел за коментари, разположен по-долу.

Компаниите все още разчитат на Windows Server 2003 с Windows Server 2016, който чука на вратата

Компаниите все още разчитат на Windows Server 2003 с Windows Server 2016, който чука на врататаWindows сървърКибер защита

Microsoft ще стартира Windows Server 2016 през септември с обещания за по-добри функции за управление на центъра за данни, както и подобрени функции за сигурност. Колкото и да е интересно Windows S...

Прочетете още
Как да активирам или деактивирам TLS в Windows Server?

Как да активирам или деактивирам TLS в Windows Server?Windows сървър

За да поправите различни проблеми с компютъра, препоръчваме DriverFix:Този софтуер ще поддържа драйверите ви работещи, като по този начин ви предпазва от често срещани компютърни грешки и отказ на ...

Прочетете още
5 най-добри антивирусни приложения за Windows Home Server

5 най-добри антивирусни приложения за Windows Home ServerWindows сървърАнтивирус

ESET PROTECT Advanced работи с Windows Server 2008, така че трябва да може да се справи и с Windows Home Server. Приложението предлага облачна конзола, така че можете лесно да управлявате сигурност...

Прочетете още